Material para Auditoria de Sistemas PDF

FASE III
PARTE 2
AUDITORIA AL NUEVO
SISTEMA
AuditoriA de
sistemas
B. Sumario: Auditoria del Sistema

B.1 Auditoria en Forma Horizontal
B.1.1 Seguridad Fsica
B.1.1.1 Equipo y Mobiliario
B.1.1.2 Instalaciones
B.1.2 Seguridad de Datos (Procesos

y Almacenamientos)
B.1.3 Seguridad de Procedimientos
Coordinacin del Area de AO
Auditoria de Sistemas

Primer Alcance
Equipo
Mobiliario
Instalaciones
Situaciones palpables donde hay riesgo
de robo, incendio, inundacin, etc.


B.1.1.1 Seguridad de Equipo y Mobiliario
Riesgos
Descripcin del
riesgo
Causas
Falta de control de
ingreso y egreso del
personal.
Falta de control de
ingreso y egreso de
vehculos.
Robos
Robo equipo y o
mobiliario.
Perdida de equipo
y mobiliario
No ubicar equipo
Falta de control de
dentro de la empresa. inventarios de equipo.
Destruccin de
Que el equipo no
equipo y mobiliario alcance su vida til.
Mal uso del equipo por

parte del personal.
4

B.1.1.1 Seguridad de Instalaciones
Riesgos
Descripcin del riesgo

Causas
Derrame de combustible Utilizar materiales
Incendios
y materiales inflamables. inflamables donde se
Fumar.
encuentran combustibles.
Descuido de no cerrar bien
Grifos abiertos.
los grifos.
Inundaciones Desages en mal estado.
Mal mantenimiento de
Se tapa la tubera.
tuberas y desages.
Ingreso de clientes al rea de
Ingresos de personal no produccin.
Acceso fsico
autorizado.
No contar con medidas de
seguridad en el acceso.
Proteccin
Corto circuito.
Mal uso o mal mantenimiento
corriente
Mal contacto.
de instalaciones elctricas.
elctrica

Segundo Alcance
B.1.2 Seguridad de Datos
Procesamiento de datos
Almacenamiento de datos
Debe
revisarse si los procesos son

los adecuados
Todos
los datos que se manejan

deben de haber sufrido un proceso
y estar revisados y luego
almacenados en un lugar seguro
B.1.2 Seguridad de Datos

Riesgos
Descripcin del
riesgo
Causas
Ingreso inadecuado
de datos
No se utilicen los Malos procedimientos de
Almacenamiento
archivos de datos almacenamiento utilizados
inadecuado de datos
correctos.
por el personal.
Copias inadecuadas
de seguridad de
datos
Acceso no
autorizado de datos
Salida inadecuada de
datos

Tercer Alcance
Que el personal este siguiendo

adecuadamente los pasos o
acciones de un procedimiento
Aunque
los datos estn bien, pudo obtenerse

de un procedimiento no autorizado, quiere
decir que el resultado no este necesariamente
bien

Riesgos
Mantenimiento
de equipo
Descripcin del riesgo
No dar mantenimiento en las

fechas correspondientes.
Causas
No existe plan de
mantenimiento
Control de
usuarios
Seguridad del
sistema
Cambios o
Instalacin de programas no
Mala clasificacin
actualizaciones autorizadas, o efectuar
y controles de
de software.
actualizaciones sin autorizacin. usuarios.
Rastreo de
fallas o errores
C. Sumario: Anlisis de Puntos de

Riesgo y Control
C.1 Identificacin de los puntos de
riesgo y puntos de control
C.1.1 Identificacin de los puntos de riesgo
En el DFD identificar puntos de riesgo
C.1.2 Identificacin de los puntos de control
En el DFD identificar puntos de control
C.2 Explicar puntos de riesgo sin control

Tcnicamente
porque se dejaron puntos de

riesgo sin control
10
C. Anlisis de Puntos de Riesgo y Control

EVENTO DE RIESGO: cualquier evento no trivial
que afecta la habilidad de una organizacin para

el logro de sus objetivos.
PUNTO DE RIESGO: es el lugar (punto fsico) o
momento (paso del proceso) en donde existe la
posibilidad de falla o error.
FALLA: es un defecto material de una cosa que
disminuye su resistencia o su funcionalidad,
puede ser fsica o de
mantenimiento.
ERROR: es humano, se da por
negligencia, impudencia o impericia.
11

CATEGORIA DE LOS RIESGOS:
VULNERABILIDAD:
Es una debilidad que puede ser aprovechada

por terceros y convertirse en una amenaza
para la empresa.
Se refiere a la frecuencia del riesgo, que tan
repetitivo puede ser.
Ocurrencias
IMPACTO:
Es la consecuencia de la vulnerabilidad en un
sistema que es atacado por una amenaza.
Se refiere a la severidad del riesgo.
12

Categora: nivel de gravedad
Categora
Nombre
Catastrfico
II
III
IV
Crtico y/o
grave
Leve
Marginal
Descripcin
Prdida total del proceso.
Muerte del operario.
Daos severos al proceso.
Severos daos ocupacionales.
Menores daos al proceso.
Menores daos ocupacionales.
Poco dao al proceso.
Daos ocupacionales.
DFD Riesgo
Consulta
Servicios
Tabla
Consulta
Servicios
DFD Riesgo
Reservacin
Servicio
Tabla
Reservacin
Servicio
DFD Riesgo
Facturacin
Servicio
Tabla
Facturacin
Servicio
Tabla
Rastreo
Auditoria
13

Categora: probabilidad de ocurrencia
Vulnerabilidad
Categora
Nombre
FRECUENTE
PROBABLE
Ocurrencia eventual.
Consecuencias medias a graves
OCASIONAL
Poca probabilidad de ocurrencia

Ocurrencia con efectos graves.
D
REMOTO
Ocurrencia
Ocurrencia constante.
Sin consecuencias graves.
Ocurrencia casi nula pero no

improbable.
Efectos graves esperados
14
C.1.1 Definicin de los

Puntos de Riesgo
15
16
DFD Control
Consulta
Servicios
Tabla
Rastreo
Auditoria
Categoras
17
Tabla de Anlisis de Riesgo

SISTEMA: Atencin al Cliente talleres Don Hugo.
SUBSISTEMA: Consulta de servicios
ANALISTA: Jorge Herrera
Paso del
Riesgo
Sistema
P.1.1
PR1
P.1.2
PR2
P.1.3
PR3
Categoras
Tabla
Rastreo
Auditoria
CateControl
gora Recomendado
Verificacin de
Que los datos de la consulta
A/III datos de consulta
sean mal ingresados
con el cliente.
Que no se consulten las
Verificar tarifas
tarifas adecuadas y se brinde C/II
de reparaciones
informacin incorrecta
Copia de respuesta a cliente
Que la copia del
y al taller con errores y se
taller sea
B/III
efecten reparaciones no
verificada antes
solicitadas.
de remitirla
Descripcin
18
DFD Control
Reservacin
Servicio
Tabla
Rastreo
Auditoria
Categoras
19

SUBSISTEMA: Reservacin de servicios
Tabla
Rastreo
Categoras
Auditoria
Paso del
Riesgo
Sistema
P.2.2
P.2.3
P.2.4
Descripcin
CateControl
gora Recomendado
PR4
Que la rampa este

ocupada, a pesar de
haberse confirmado
PR5
Que el archivo del

registro de datos no se
C/II
haga donde corresponde
Verificar que el
archivo de datos
sea correcto
PR6
Que la boleta de servicio

tenga datos incorrectos
Verificar datos
de boleta de
servicio
B/IV
C/II
Verificar que
rampa este
disponible
20
DFD Control
Facturacin
Servicio
Tabla
Rastreo
Auditoria
Categoras
21

SUBSISTEMA: Facturacin de servicios
Paso del
Riesgo
Sistema
P.3.1
PR7
P.3.2
PR8
P.3.3
PR9
Categoras
Tabla
Rastreo
Auditoria
CateControl Recomendado
gora
Verificar montos de
Ingreso errneo de
B/II servicio de acuerdo a
montos de servicio
cotizacin.
Verificar montos de
Registro errneo de
B/II servicio previo a su
monto de servicio
registro.
Verificar datos de
Se emite factura
B/II cliente y montos de
con datos errneos
servicio previo al cobro.
Descripcin
22
C.1.2 Definicin de los

Puntos de Control
23
Controles
Segn Auditoria de Sistemas:
Son los mecanismos
situados en puntos de
riesgo para detectar fallas
o errores y advertir sobre
ellos
Mecanismos:
Son elementos creados

para la deteccin de
alguna falla o error
24
Controles
CONTROL: es un mecanismo dentro del
sistema que se ha situado en puntos de

riesgo especficos para detectar fallas o
errores.
Los controles estn formados por polticas,
procedimientos, practicas y estructuras
organizacionales diseadas para garantizar
que los objetivos del negocio
sern alcanzados y que eventos
no deseables sern prevenidos,
detectados y corregidos
25
Controles
PUNTO DE CONTROL: es el punto de riesgo
donde se instala o coloca un mecanismo de

control.
Pasos a seguir para
identificar donde situar
un punto de control:
Analizar
el sistema.
Estudiar cada paso o lugar
para determinar si existe riesgo.
Evaluar la incidencia de la posible falla o error.
Establecer el tipo de mecanismo de control.
Establecer la factibilidad del punto de control.
26
Categora de los Controles

Funcin
Evitar
Subdivisin
Preventivos
Caractersticas
Prev un dao o peligro,
anticipndose al evento
Controlar Detectivos
Determina si el evento est

sucediendo y notifica o emite
seal de advertencia
Eliminar
Subsana una situacin generada

al ocurrir un evento de riesgo.
Reduce la amenaza, reduce la
vulnerabilidad del sistema, reduce el
impacto, detecta un incidente y se
recupera del impacto
Correctivos
27
DFD Riesgo
Consulta
Servicios
Tabla
Rastreo
Auditoria
Control
Tipo: Funcin
Descripcin
C1
Correctivo
Verificar que no se han ingresado datos

incorrectos, corregir los datos mal
ingresados y verificar tarifas.
C2
Detectivo
Verificar datos de respuesta antes de

remitirla al cliente y al taller.
28
DFD Riesgo
Reservacin
Servicio
Tabla
Rastreo
Auditoria
Control Tipo: Funcin
Descripcin
C3
Preventivo
Efectuar verificacin de archivo de datos.
C4
Correctivo
Verificar datos de servicio previo a remitirlo
29
DFD Riesgo
Facturacin
Servicio
Tabla
Rastreo
Auditoria
Control
Tipo: Funcin
C5
Correctivo
Descripcin
30
Rastreo de Auditoria
Paso del Sistema
P1
1
Punto de Riesgo
PR1 PR2 PR3
Punto de Control
C1
Categoras
P1
2
P1 P2 P2 P2 P2 P3
3
1
2
3
4
1
C2
P3
2
P3
3
PR4 PR5 PR6 PR7 PR8 PR9
C3
C4
DFD Riesgo
Consulta
Servicios
DFD Riesgo
Reservacin
Servicio
DFD Riesgo
Facturacin
Servicio
Tabla
Consulta
Servicios
Tabla
Reservacin
Servicio
Tabla
Facturacin
Servicio
DFD Control
Consulta
Servicios
DFD Control
Reservacin
Servicio
DFD Control
Facturacin
Servicio
C5
Tabla
Anlisis
31
C.2 Puntos de riesgo sin control

Paso del Punto de
Sistema Riesgo
P1.1
P2.3
P3.1
P3.2
PR1
PR5
PR7
PR8
Amenaza
Datos de
consulta mal
ingresados
Que la rampa
este ocupada
al haberse
confirmado
Elaboracin de
montos de
servicio errneo
Motivo del NO Control

Con el control C-1, al verificar
las tarifas se puede detectar
errores en este punto de riesgo y
corregirlos.
Al verificar que la rampa esta
ocupada, se debe esperar que
sea liberada para poder utilizarla.
Con el control C-5 al verificar los
datos de facturacin se detecta y
corrige el monto errneo
Registro de
Con el control C-5 al verificar los
monto de
datos de facturacin se detecta y
servicio errneo corrigen datos errneos
32
D. Sumario: Manual de
Contingencia
D.1 Hacer tabla de anlisis de
contingencia
D.2 Hacer diagrama de contingencia.
D.3 Hacer tablas de llamada.
D.4 Hacer tablas instructivo
33
D. Manual de Contingencia
El manual de contingencia es la
expresin grafica de un plan de

contingencia, el cual, adems de los
planes de prevencin, contencin y
recuperacin, forma parte del plan
global de recuperacin
ante desastres.
Apoya como prevenir
y como resolver las
contingencias del sistema
34
CONTINGENCIA:
Es algo que impide hacer una tarea tal y
como fue planeada.
Puede
ser:
Un obstculo
Una falla
Un error
Ausencia de personal
35
Simbologa
Paso del sistema
Actividad o tarea
Decisin: hay contingencia?
INSTRUCTIVO
LLAMADA
Solucin por instructivo

Solucin por llamada de apoyo
36
D.1 Tabla de Anlisis de Contingencia

Paso
Descripcin
Contingencia
Solucin
Tipo
P1.2
Error de registro de
tarifas (AA)
No se registran
adecuadamente los datos Verificar datos
de las tarifas (XA)
P1.3
Falla en los datos de

respuesta (AB)
No se emite respuesta
con datos correctos al
cliente y al taller (XB)
Verificar datos de
respuesta con
responsable de taller
P2.3
Registro de datos
errneos (AC)
No se registran los datos

en donde corresponde
(XC)
Verificar datos de
registro en el
sistema
P2.4
Datos de boleta de
servicio errneos (AD)
Los datos del servicio no

estn correctos (XD)
Verificacin de datos
del servicio
P3.3
(AE)
(XE)
LL
LL
Nota: las siglas entre parntesis (AA), (XA), etc., u otros, son marcas
de auditoria que nos sirven en el diagrama de contingencia para no
Rastreo
saturarlo.
37
D.2 DIAGRAMA DE CONTINGENCIAS

P1.2
AA
SI
XA
P1.3
AB
SI
XB
NO
P2.3
NO
Instructivo
No.124
P2.3
AC
SI
XC
NO
Llamada
No.T-002
P2.4
AB
SI
XD
P3.3
Fin
NO
Instructivo
No.124
AC
Instructivo
No.124
38
D.3 Tabla de Llamada

Debe contener, mnimo, tres
destinos de llamadas en orden de

prioridad (en funcin de solucin
del problema, no de nivel
jerrquico)
Debe estar actualizada para c/ciclo
del sistema, tanto en el manual de
contingencia como en los manuales
de funciones de los departamentos
tcnicos
Debe hacerse un simulacro de en
forma peridica para corroborar la
actualizacin
de
la
tabla
39

No. T-002
Prioridad
A quin
Telfono
Da
Puesto
Telfono
Noche
Jorge
Ramos
Tcnico II
2233-5555 5305-3456
Mario
Garca
Tcnico I
2233-5555 5305-3458
Martn
Jefe de
Gonzlez Tcnicos
2233-5555 5305-3455
40

Se hacen las tablas de llamadas diseadas
Tabla Corregir Falla T-2

A
quin
Prioridad
Puesto
Telfono
Da
Telfono
Noche
Oficina
Juan
Prez
Tcnico
2144
5468-2838
210
Pedro
Lpez
Jefe de
Oficina
2145
5236-2118
211
Luis
Larios
Jefe de
Sistemas
2149
5544-1511
720
41
D.4 Tabla de Instructivo

Se considera como una
lista de pasos que se

seguirn para alcanzar
un objetivo.
Debe contener:
Quin debe realizarlo
La accin
Qu hacer si no se logra
completar la accin
42

Debe estar actualizado para
cada ciclo del sistema, tanto

en el manual de contingencia,
como en los manuales de
funciones de los
departamentos tcnicos
Debe hacerse un simulacro de
instructivo en forma peridica
para comprobar su
actualizacin
43

Instructivo No. 124
No.
Quin
Operador
Datos cliente no
Operador
permite modificacin
Llamar al departamento Tabla de Llamada

Operador
de informtica
No. L-25
Tcnico
Accin
Que hacer si no
se logra
Revisar datos de
cliente
Modifica datos
errneos
Siga paso 2
Siga paso 3
Solicitar Auditoria
44
Preguntas???
45

Material para Auditoria de Sistemas PDF

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Material para Auditoria de Sistemas PDF

Transféré par

Droits d'auteur :

Formats disponibles

FASE III

B. Sumario: Auditoria del Sistema

B.1.2 Seguridad de Datos (Procesos

B.1 Auditoria en Forma Horizontal

Situaciones palpables donde hay riesgo

de robo, incendio, inundacin, etc.

B.1.1 Seguridad Fsica

Mal uso del equipo por

B.1.1 Seguridad Fsica

Descripcin del riesgo

B.1 Auditoria en Forma Horizontal

revisarse si los procesos son

los datos que se manejan

Coordinacin del Area de AO

B.1.2 Seguridad de Datos

B.1 Auditoria en Forma Horizontal

Que el personal este siguiendo

los datos estn bien, pudo obtenerse

Coordinacin del Area de AO

B.1.3 Seguridad de Procedimientos

Descripcin del riesgo

No dar mantenimiento en las

C. Sumario: Anlisis de Puntos de

C.2 Explicar puntos de riesgo sin control

porque se dejaron puntos de

Coordinacin del Area de AO

C. Anlisis de Puntos de Riesgo y Control

que afecta la habilidad de una organizacin para

C. Anlisis de Puntos de Riesgo y Control

Es una debilidad que puede ser aprovechada

Coordinacin del Area de AO

C. Anlisis de Puntos de Riesgo y Control

C. Anlisis de Puntos de Riesgo y Control

Poca probabilidad de ocurrencia

Ocurrencia casi nula pero no

C. Anlisis de Puntos de Riesgo y Control

C.1.1 Definicin de los

Coordinacin del Area de AO

Coordinacin del Area de AO

Tabla de Anlisis de Riesgo

Coordinacin del Area de AO

Tabla de Anlisis de Riesgo

Que la rampa este

Que el archivo del

Que la boleta de servicio

Coordinacin del Area de AO

Tabla de Anlisis de Riesgo

Coordinacin del Area de AO

C. Anlisis de Puntos de Riesgo y Control

C.1.2 Definicin de los

Coordinacin del Area de AO

Son elementos creados

Coordinacin del Area de AO

sistema que se ha situado en puntos de

donde se instala o coloca un mecanismo de

Categora de los Controles

Determina si el evento est

Subsana una situacin generada

Coordinacin del Area de AO

Verificar que no se han ingresado datos

Verificar datos de respuesta antes de

Coordinacin del Area de AO

Control Tipo: Funcin